unidad 5

Práctica de hacking ético

PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Hacking es un término general utilizado para nombrar actividades

destinadas a poner en peligro las computadoras y redes. Son
intrusiones indeseadas que comprometen la privacidad del titular
y del usuario, irrumpiendo en un dispositivo, red o servidor con la
intención de dañar propiedades contenidas en el equipo tales
como: archivos, documentos, páginas web, etc.
EL hacking también implica acciones benignas, sin embargo,
comúnmente se relaciona con la intención maliciosa de explotar
las vulnerabilidades del sistema para beneficiar al perpetrador.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Las personas involucradas en el hacking se conocen comúnmente

como hackers. El término se utilizó por primera vez en un artículo
de una revista en 1980 y se hizo popular en las películas “Tron” y
“WarGames” unos años más tarde.
A lo largo de los años, los hackers se han convertido en un
elemento básico de la cultura popular. Sin embargo, la
representación habitual de un hacker como un genio autodidacta
de la programación no solo es estereotipada, sino también muy
exagerada.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Aunque de naturaleza avanzada, el hacking no requiere necesariamente

buenas habilidades informáticas. Los piratas informáticos también pueden
utilizar la ingeniería social para acceder a computadoras y sistemas. Este
conjunto de tácticas son diseñadas para engañar a objetivos inocentes,
para que estos acaben ofreciendo sus datos a los hacker.
El hacking requiere algunas habilidades de TI, pero cualquiera puede
acceder a la dark web y comprar las herramientas necesarias para lanzar
un ataque, o contratar a un hacker profesional para lanzar el ataque.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Los hackers pueden encontrar su motivación en muchos factores. Esto incluye

ganancias financieras, robo de información personal, acceso a información
confidencial, el deseo de eliminar sitios web, así como idealismo y activismo
político.
Si bien algunas formas de piratería son perfectamente legales, la mayoría no lo
son y se consideran delitos penales. Dependiendo de la gravedad del ataque,
los hacker en los Estados Unidos pueden ser condenados desde unas pocas
semanas hasta 15 años de prisión por delitos informáticos.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Basados en las intenciones de los hackers, así como la legalidad de sus ataques,
existen tres tipos principales de hacking. Son los siguientes:

Hacking de Sombrero Blanco

A menudo conocido como piratería ética, la piratería de sombrero blanco
siempre se usa para siempre. En lugar de conver tirse en el prodigio que
t r a i c i o n a e l e s t e r e o t i p o q u e a m e n u d o s e v e e n l a s p e l í c u l a s, l a s g r a n d e s
Hacking de Sombrero corporaciones suelen contratar a los piratas informáticos para que les
Blanco ayuden a mejorar la seguridad identificando las vulnerabilidades del
sistema. Los hackers éticos utilizan casi los mismos métodos que
c u a l q u i e r o t r o h a c k e r, p e r o s i e m p r e l o h a c e n c o n e l p e r m i s o d e l
Sombrero Blanco propietario del sistema. Hay muc hos cursos y conferencias sobre ética
de piratería.
Sombrero Negro

Sombrero Gris
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Basados en las intenciones de los hackers, así como la legalidad de sus ataques,
existen tres tipos principales de hacking. Son los siguientes:

Hacking de Sombrero Negro

El hacking de sombrero negro es lo opuesto al hacking de sombrero
b l a n c o, p o r l o q u e s e l l a m a i n m o r a l i d a d . L o s p i r a t a s d e t r á s d e u n a t a q u e
d e s o m b r e r o n e g r o p u e d e n e s t a r m o t i v a d o s p o r m u c h o s o t r o s f a c t o r e s,
Hacking de Sombrero pero generalmente están motivados por ganancias personales o
Negro f i n a n c i e r a s. D e b i d o a q u e n o h a y u n p e r m i s o e x p l í c i t o d e l p r o p i e t a r i o
para atacar el sistema, los correos electrónicos de phishing o los sitios
comprometidos se utilizan para descargar e instalar software malicioso
Sombrero Blanco e n l a s c o m p u t a d o r a s d e l a s v í c t i m a s p o t e n c i a l e s, y d e e s e m o d o r o b a r
información personal.
Sombrero Negro

Sombrero Gris
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Basados en las intenciones de los hackers, así como la legalidad de sus ataques,
existen tres tipos principales de hacking. Son los siguientes:

Hacking de Sombrero Gris

El truco del sombrero gris está en algún lugar entre ético e inmoral.
Los hackers de sombrero gris generalmente no se vuelven
c o m p l e t a m e n t e m a l i c i o s o s, p e r o a l g u n o s d e s u s m o v i m i e n t o s p u e d e n
Hacking de Sombrero i n t e r p r e t a r s e c o m o t a l e s. P o r e j e m p l o, p o d r í a e n t r a r e n u n a r e d s i n e l
Gris p e r m i s o d e l p r o p i e t a r i o p a r a b u s c a r v u l n e r a b i l i d a d e s. D e s p u é s d e e s o,
generalmente se comunican con el propietario y solicitan una pequeña
t a r i f a p a r a r e s o l v e r e l p r o b l e m a . S i n e m b a r g o, s i e l p r o p i e t a r i o r e c h a z a
Sombrero Blanco la oferta, los piratas informáticos pueden compartir los hallazgos en
l í n e a y a l e n t a r a l o s p a r e s p o c o é t i c o s a e x p l o t a r e s t a s v u l n e r a b i l i d a d e s.
Sombrero Negro

Sombrero Gris
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Pentesting

Las pruebas de penetración o penetration testing,

coloquialmente llamadas pentesting, son una de las
f o r m a s d e a u d i t o r í a e n s e g u r i d a d m á s u s a d a s, e n l a
cual se realiza un ataque simulado a un sistema
para tratar de penetrar en el mismo y realizar
acciones que comprometan su integridad.
Esta es una prueba que, bien realizada, nos proporciona muchísima
información acerca de las vulnerabilidades de nuestro sistema de seguridad.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Pentesting

Las metas a conseguir y la metodología dependen de la auditoría que

estemos realizando, de lo que queramos averiguar o comprobar.
El pentesting requiere de una gran maestría y conocimiento en el campo de la
seguridad, además de pericia y grandes dosis de capacidad innovadora.
Realizamos estas pruebas con un éxito muy alto, y somos capaces de
encontrar vulnerabilidades a un nivel profundo.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

La caja Negra
Hay muc hos enfoques diferentes que puede tomar cuando se trata de su
sistema de seguridad. Una de ellas es la llamada blackbox, pentesting o
pentesting de caja negra.
La caja Negra
En este caso, el atacante no conoce los detalles del sistema preevaluado. En otras palabras, estamos en la
posición de un ciberdelincuente que intenta entrar o entrar en el sistema de un cliente. La ventaja de este
sistema es que se acerca a la realidad y la improvisación brinda una solución que nunca soñaste. Del
Caja Negra mismo modo, optimizar los tiempos de prueba es más difícil y es posible que no pueda probar todas las
partes del sistema y las diferentes posibilidades.
Caja Blanca

Caja Gris
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

La caja Blanca
A diferencia de la caja negra, en el Pentesting de la caja blanca c o n o c e m o s d e a n t e m a n o t o d a
l a i n f o r m a c i ó n s o b r e e l s i s t e m a d e s e g u r i d a d q u e v a m o s a v u l n e r a r . Esto
permite profundizar en sus opciones de prueba, optimizando el tiempo requerido para ellas, además de
La caja Blanca evaluar con precisión todos sus componentes.
Sin embargo, este no es un ataque realista, ya que es posible que los ciberdelincuentes no conozcan todos
los detalles del ataque.

Caja Negra

Caja Blanca

Caja Gris
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

La caja Gris
Este tipo de prueba de penetración es un híbrido de los dos anteriores y
a p r o v e c h a a l m á x i m o c a d a u n o.
Comienza con información incompleta sobre el sistema atacado: datos importantes, topología de red,
La caja Gris sistema operativo y su versión, etc.

Cuanta más información tengamos inicialmente, menos gris será la caja. Esta información suele estar
lógicamente equilibrada y puede simular la situación de un ciberdelincuente tras investigar un poco el
Caja Negra sistema. Esta metodología permite una mejor penetración y permite testear las cajas negras de una
manera más meticulosa, sin descartar por completo los elementos de simulación reales.
Caja Blanca

Caja Gris
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

<iframe src="https://player.vimeo.com/video/338814068"
width="640" height="564" frameborder="0" allow="autoplay;
fullscreen" allowfullscreen></iframe>

https://player.vimeo.com/video/338814068?h=5064fac028
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Consiste en analizar las vulnerabilidades de los

dispositivos (tanto los routers WiFi como el resto de
dispositivos conectados a la WLAN) e investigar el
p o t e n c i a l d e e x p l o t a c i ó n d e l a s m i s m a s.
El método utilizado en las pruebas de penetración WiFi es el siguiente. Una
vez que el atacante piratea una contraseña en un punto de acceso
inalámbrico y se conecta a una red WiFi, el siguiente paso será hacer un
fingerprint de todos los dispositivos conectados para conocer su identidad, su
versión, los puertos abiertos y servicios en ejecución.
Toda esta información es luego utilizada por un atacante para identificar y
explotar las vulnerabilidades descubiertas.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Una vez conectado, el ciberdelincuente puede usar herramientas instaladas en

nuestro sistema informático para analizar el tráfico de la red y obtener así
credenciales de usuarios (nombre de usuario y contraseña) para sitios web
sensibles o hacer ataques de tipo Man In the Middle utilizando técnicas de
envenenamiento de caché o ARP(ARP poisoning) entre otros tipos de
ataques existentes.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Metodología
La realización de este tipo de ejercicios se estructura en cuatro fases

Fase 1
Fase 0 Escaneo
Preparación de Fase 2 Fase 3
redes Explotación/ Análisis de
Wi-Fi crackeo de vulnerabilidades y
la red Wi-Fi explotación de los
dispositivos
conectados a la red
Wi-Fi
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Metodología
La realización de este tipo de ejercicios se estructura en cuatro fases

o Por ejemplo, en esta etapa utilizamos un ordenador portátil con la

distribución Kali Linux instalada.

o Conectamos un adaptador USB Alfa Network AWUS036NH (un clásico

en el hacking de redes Wi-Fi). Este dispositivo es una tarjeta Wi-Fi
Fase 0 USB que se puede configurar en modo de monitoreo en la banda de
Preparación 2.4GHz.

o Esto es necesario para realizar escaneos de red y craqueo de Wi-Fi

haciendo uso de las herramientas que vamos a ver a continuación.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Metodología
La realización de este tipo de ejercicios se estructura en cuatro fases

En esta etapa, se determina un inventario detallado de todos los

puntos de acceso Wi-Fi detectados, y nos centramos concretamente
en aquellos que tiene WPS (Wifi Protected Setup).
Fase 1
Escaneo de Estos son más fáciles de hackear porque hay muchas herramientas
redes Wi-Fi y técnicas de hacking capaces de vulnerarlos.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Metodología
La realización de este tipo de ejercicios se estructura en cuatro fases

Hoy en día, existen multitud de herramientas para escanear redes

Wi-Fi, desde la clásica suite de utilidades de línea de comandos
aircrack-ng hasta las más modernas, como Airgeddon, Gerix, Wi-
Fite, Linset, etc. que se ejecutan desde una terminal y ofrecen, o
Fase 1 bien una interfaz de texto basada en menús, o bien una interfaz
Escaneo de gráfica desde la que se puede tanto escanear como atacar una red
redes Wi-Fi Wi-Fi.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Metodología
La realización de este tipo de ejercicios se estructura en cuatro fases

o Las herramientas como Airgeddon permiten poner la interfaz de

red inalámbrica con la que se va a hacer el escaneo en modo
monitor (o modo promiscuo), lo cual es necesario para escanear
redes.

o Cuando se inicia este modo, se ejecuta el escaneo en sí.

Fase 1 Seleccionamos la red Wi-Fi que queremos vulnerar a través de
Escaneo de diversos ataques.
redes Wi-Fi
o Por lo tanto, la misma herramienta brinda utilidades para
escanear redes WiFi y descifrar sus contraseñas.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Metodología
La realización de este tipo de ejercicios se estructura en cuatro fases

Actualmente, la configuración de seguridad que encontramos en los

router Wi-Fi suele ser WPA/WPA2 con o sin WPS.
WEP no es considerado porque está en desuso debido a su falta
de seguridad.
Para atacar un punto de acceso seguro, utilice herramientas como:

Fase 2 o aireplay-ng + aircrack-ng o airgeddon

o aireplay-ng + reaver o Gerix Wi-Fi Cracker
Explotación/ o mdk3/mdk4 + reaver o Fluxion
crackeo de o reaver + bully (ataque Pixie-Dust) o Linset
o genpmk + cowpatty o Wi-Fitez
la red Wi-Fi
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Metodología
La realización de este tipo de ejercicios se estructura en cuatro fases

Con las herramientas anteriores, podemos realizar uno de los

siguientes ataques para descifrar contraseñas:

o Ataque Pixi-Dust
Fase 2 o Ataque basado en base de datos de PINs conocidos
Explotación/ o Ataques por fuerza bruta contra el handshake WPA
crackeo de
la red Wi-Fi
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Metodología
La realización de este tipo de ejercicios se estructura en cuatro fases

La obtención de una contraseña de red Wi-Fi permite a un atacante

conectarse a la red y pasar a la fase de explotación del dispositivo
conectado.
Como ya comentamos, antes del explotación en sí, primero se hace
Fase 3 un fingerprint utilizando herramientas como Nmap/Zenmap,
Análisis de Spartan, Metasploit/Armitage, luego se realiza un análisis de
vulnerabilidades vulnerabilidad y se acaba por explotar el dispositivo vulnerable.
y explotación de
los dispositivos
conectados a la
red Wi-Fi
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

Metodología
La realización de este tipo de ejercicios se estructura en cuatro fases

En el análisis de vulnerabilidades se utilizan herramientas como:

o Metasploit + plugin de Nessus + plugin de OpenVAS

o Nmap o OWASP ZAP o OWASP ZAP
o Nessus o Burp Suite o Burp Suite
o Greenbone OpenVAS o Vega o Vega

Fase 3 y en la explotación:
Análisis de
vulnerabilidades o Metasploit o Securityfocus.com
o Searchsploit o cvedetails.com
y explotación de o Exploit-DB.com
los dispositivos
conectados a la
red Wi-Fi
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión
HACKING ÉTICO

VIDEO USO CORRECTO DEL WIFI

<div style="padding:56.25% 0 0 0;position:relative;"><iframe
src="https://player.vimeo.com/video/338813719?badge=0&am
p;autopause=0&amp;player_id=0&amp;app_id=58479"
frameborder="0" allow="autoplay; fullscreen; picture-in-
picture" allowfullscreen
style="position:absolute;top:0;left:0;width:100%;height:100%;"
title="10-uso-correcto-wifi-
Smartmind"></iframe></div><script
src="https://player.vimeo.com/api/player.js"></script>

https://player.vimeo.com/video/338813719
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

En nuestro sitio web, podemos hacer negocio electrónico las 24 horas del
día, los 365 días del año, sin embargo, esto también tiene sus desventajas.
Nuestra empresa está expuesta en internet las 24 horas del día, los 7 días
de la semana. Mientras nuestro sitio web o aplicación tenga auditorías
regulares, se corrijan vulnerabilidades y utilicemos software legal y actualizado,
esto minimizaría notablemente los problemas de ciberdelincuencia.
Hagámonos las siguientes preguntas:
o ¿Dejaríamos las puertas del nuestra tienda física
desprotegidas?
o ¿Olvidaríamos el mantenimiento del edifico o
local?
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

El web hacking se centra en encontrar una

v u l n e r a b i l i d a d o f a l l o s d e s e g u r i d a d e n u n s i t i o w e b.
Dependiendo de quién sea el atacante, el objetivo puede variar ampliamente,
desde ciberdelincuentes que intentan robar todo tipo de información para
obtener ganancias, hasta auditores de seguridad que verifican todos los
controles que tiene la plataforma web. Estos son conocidos como hackers de
sombrero negro y hackers de sombrero blanco, respectivamente.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Desde el punto de vista del auditor, se utilizan diferentes métodos y técnicas.

La más utilizada es OWASP (Open Web Application Security Project),
publicando cada dos años un documento que contiene los 10 riesgos más
comunes a considerar en una aplicación web denominada OWASP Top 10.
Analizando aspectos relacionados con la correcta configuración de seguridad,
monitoreo, exposición de datos sensibles, seguridad de las credenciales de
los usuarios y vulnerabilidades clave en materia de seguridad.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Estos son los aspectos más importantes y comunes de la actualidad, pero

van cambiando y evolucionando con los años. Sin embargo, hay muchísimos
más asuntos y los ciberdelincuentes se ocupan de todos ellos.
Por lo tanto, los investigadores de seguridad deben usar varias técnicas de
hacking web existentes para verificar y validar cada parte de una aplicación
web antes de que un atacante la pueda comprometer a ella y al servidor en
el que está alojada.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Es un estándar mundialmente reconocido, abierto, gratuito y

participativo que propone definir el proceso de desarrollo teniendo en
cuenta la seguridad y desarrolla proyectos de software y
documentación. Sin embargo, este proyecto no solo está enfocado al
desarrollo de aplicaciones web, también cuenta con varios recursos
para realizar pruebas de penetración.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

OWASP tiene algunos principios de seguridad de aplicaciones web

muy interesantes que definitivamente son un punto de partida para las
pruebas de penetración y los programadores interesados en la
seguridad de las aplicaciones que desarrollan. Estos principios son
algunas prácticas desarrolladas por numerosos expertos en seguridad
web en los últimos años, que especifican propiedades, diseños,
implementaciones y características deseables para mitigar el riesgo y
el impacto de los ataques realizados por la ciberdelincuencia.

A continuación, se describen estos principios y

cómo afectan (de manera proactiva) el
comportamiento de su aplicación.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Otras medidas de importantes para el teletrabajo:

Defensa en
Profundidad
Modelo positivo/
Es muy recomendable utilizar este tipo de modelo de seguridad, el cual se
negativo de Seguridad
puede resumir con la siguiente frase “No pongas todos los huevos en la
misma cesta”. En otras palabras, no recomendamos utilizar un único
Fallo Seguro mecanismo de seguridad tanto en una aplicación o servidor. Si un atacante
atraviesa esta barrera, no existirá mas protección entre él y los nuestros
Ejecución bajo el valiosos datos almacenados en el servidor.
ultimo privilegio
Un ejemplo, es la capacidad de algunos atacantes para eludir un sistema
Evitar la seguridad por WAF (Web Application Firewall). Si este es el único mecanismo de defensa
medio de la “ocultación” implementado en la aplicación, es más probable que un atacante lo vulnere.
Si miramos en el sector de la banca vemos como estos implementan varios
filtros de autenticación para usuarios, de esta manera se complementan sus
Simplicidad defensas.

Detección de intrusos
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Otras medidas de importantes para el teletrabajo:

Defensa en
Profundidad Este principio es uno de los más extendidos y conocidos, hablamos del
modelo "whitelist" y "blacklist“, vamos a verlos:
Modelo positivo/
negativo de Seguridad o Blacklist: también conocido como “modelo negativo de seguridad” en el
que se permite cualquier elemento malicioso de manera explícita, eso sí,
Fallo Seguro excluyendo aquellos incluidas en la propia Blacklist.

o Whitelist: También conocido como “modelo positivo de seguridad”, en

Ejecución bajo el
este caso, cualquier elemento es rechazado a no ser que se encuentra
ultimo privilegio incluido en la Whitelist. Este modelo es recomendado y utilizado por
Evitar la seguridad por una variedad de soluciones relacionadas con la seguridad (no solo la
seguridad de la aplicación web).
medio de la “ocultación”
Los beneficios de este modelo son significativos, no obstante, es necesario
Simplicidad disponer de una lista bien estructurada y “no bloquear” peticiones legítimas.
Es un trabajo difícil y puede requerir un proceso de prueba muy completo,
pero se ha demostrado que a mediano y largo plazo se trata de un
Detección de intrusos mecanismo de seguridad muy eficiente.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Otras medidas de importantes para el teletrabajo:

Defensa en
Profundidad
Modelo positivo/
negativo de Seguridad

Fallo Seguro Las aplicaciones pueden fallar por "infinitas" razones, pero si estos errores
no se manejan adecuadamente, puede acabar "filtrándose" información
Ejecución bajo el confidencial relacionada con los detalles técnicos de la aplicación.
ultimo privilegio Por ejemplo, algunos servidores web muestran el “fingerprint" de la versión
del servidor si la página falla debido a un error (error HTTP 5xx o HTTP
Evitar la seguridad por 4xx), debido a que ciertos servidores web cuenta con vulnerabilidades ya
medio de la “ocultación” conocidas, esta información puede ser útil para atacar el sistema.

Simplicidad

Detección de intrusos
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Otras medidas de importantes para el teletrabajo:

Defensa en
Profundidad
Modelo positivo/
negativo de Seguridad

Fallo Seguro Por otro lado, el manejo seguro de los errores, que puedan existir en
nuestra aplicación, es especialmente importante si estos ocurren mientras se
Ejecución bajo el ejecuta un filtro o módulo de seguridad, por ejemplo, si se lanza una
ultimo privilegio excepción durante el proceso de autenticación del usuario. Además del
hecho de que la operación da como resultado usuarios no autenticados, la
Evitar la seguridad por situación debe ser claramente identificable a través de registros u otros
medio de la “ocultación” mecanismos.

Simplicidad

Detección de intrusos
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Otras medidas de importantes para el teletrabajo:

Defensa en
Profundidad
Modelo positivo/
negativo de Seguridad

Fallo Seguro El principio se basa en que las operaciones realizadas por la aplicación se
ejecutan con privilegios mínimos, sin afectar a la funcionalidad requerida por
la misma.
Ejecución bajo el Es importante comprender que los permisos deben asignarse de la forma
ultimo privilegio más eficaz posible, es decir, sin que sobre ni falte ninguno. Este método se
utilizar en todo tipo de aplicaciones, no solo a las aplicaciones web. Por
Evitar la seguridad por ejemplo, crear un usuario con privilegios bajos para iniciar un servidor web
medio de la “ocultación” es una recomendación muy útil y de uso extendido.

Simplicidad

Detección de intrusos
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Otras medidas de importantes para el teletrabajo:

Defensa en
Profundidad
Modelo positivo/
negativo de Seguridad

Fallo Seguro
La seguridad de "encubrimiento" oculta tantos detalles técnicos (y en
Ejecución bajo el algunos casos funcionales) como sea posible al público en general. En
ultimo privilegio realidad, es un tema de mucho debate con pernas críticas y personas
defensoras, pero en cualquier caso, la seguridad del sistema no se basa
Evitar la seguridad por únicamente en la protección de los "secretos".
medio de la “ocultación”

Simplicidad

Detección de intrusos
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Otras medidas de importantes para el teletrabajo:

Defensa en
Profundidad
Modelo positivo/
negativo de Seguridad
La belleza reside en la sencillez. Si nuestro sistema tiene demasiadas capas
Fallo Seguro de procesamiento o demasiadas funciones innecesarias, la cantidad de
posibles violaciones de seguridad aumentará exponencialmente.
Por otro lado, demasiados mecanismos de seguridad pueden agregar
Ejecución bajo el complejidad al sistema y comprometer la interacción entre estos, por lo que
ultimo privilegio no se debe abusar del principio de "defensa en profundidad" anterior.
El mecanismo de seguridad debe ser muy eficiente y simple para que sea
Evitar la seguridad por fácil de mantener y pueda ser reemplazado en cualquier momento sin
medio de la “ocultación” mayores problemas si es necesario.

Simplicidad

Detección de intrusos
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Otras medidas de importantes para el teletrabajo:

Defensa en
Profundidad
Modelo positivo/
negativo de Seguridad

Fallo Seguro
En general, se recomienda implementar un sistema de detección y
Ejecución bajo el prevención de intrusiones para obtener información oportuna cuando se
ultimo privilegio reporten eventos relacionados con la seguridad del sistema. Hay muchas
herramientas en el mercado que se pueden utilizar para registrar estos
Evitar la seguridad por eventos, como Snort y Suricata.
medio de la “ocultación”

Simplicidad

Detección de intrusos
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Clickjacking

El ataque consiste en engañar al usuario para que haga clic en un enlace,

botón o imagen maliciosa que está oculta o superpuesta de forma
transparente en un área particular del sitio web (como un menú). Al hacer
clic en él, lo redirigirá a un sitio fraudulento.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Cross-site Request Forgery (CSRF)

El ataque consiste en engañar a un usuario para que realice determinadas

acciones en una aplicación web vulnerable sin que la víctima sea consciente
de ello.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Cross Site Scripting (XSS)

La vulnerabilidad podría permitir que un atacante ejecute código en el

navegador de un cliente (víctima), recupere datos de sesión o cookies,
redirija una conexión a un sitio web que contenga contenido malicioso y
lance un ataque de phishing, a través de un servidor. ataque de negación en
su navegador.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Inyección SQL (SQL Injection)

Los ataques de inyección SQL involucran la manipulación de parámetros de

entrada que los clientes ingresan en sus aplicaciones web.
Modifique la solicitud SQL de la aplicación al backend a través de una
cadena de texto especialmente manipulada para recuperar consultas
arbitrarias para descargar y recuperar información importante de la base de
datos, o cargar archivos (shell inversa), puede omitir el sistema de
autenticación sin usar credenciales legítimas.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Ejecución de código remoto (RCE)

Un atacante podría aprovechar esta vulnerabilidad para ejecutar código

arbitrario desde una aplicación web. Este método permite el acceso inmediato
a su computadora, alojar archivos, eliminarlos o modificarlos, instalar y
ejecutar malware y, potencialmente, explotar otras vulnerabilidades en su
sistema operativo o servicios instalados. Para promover el acceso a
privilegios y recursos de otras empresas.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Inclusión de ficheros (LFI)

Esta técnica consiste en cargar un archivo mientras la aplicación se está

ejecutando como resultado de un error de programación de la aplicación, al
no controlar la fuente del archivo contenido en el flujo de ejecución.

Este tipo de técnica se puede realizar de las siguientes formas:

o Archivo local incluido (LFI): esta técnica le permite descargar cualquier
archivo del servidor.
o Archivo remoto incluido (RFI): esto le permite cargar y ejecutar cualquier
archivo en su servidor.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Redirección de URL a sitio

no confiable

Debido a que existen servicios web que implementan redirecciones que se

pueden usar de manera ilegal, un atacante puede aprovechar esta redirección
desde un dominio legítimo para controlar a estos usuarios en un sitio web o
web maliciosa. Es posible que sea redirigido al sitio.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

La posible amenaza de que un ciberdelincuentes llegue a controlar nuestros

teléfonos se ha convertido en una preocupación general y fundamentada. La
realidad en la actualidad indica que todos los teléfonos pueden ser atacados.
A medida que los nuevos conocimientos permiten un
a v a n c e e n l a s t e c n o l o g í a s m ó v i l e s, l o s
ciberdelincuente saben doblegarlas e incluso
a p r o v e c h a r s e d e e l l a s, s i n i m p o r t a r c u á n s o f i s t i c a d o s
sean. ¿Cómo lo consiguen?
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Software creado por hackers

¿Sabías que existe software para Android y otros dispositivos móviles creado por ciberdelincuentes? Este software se puede
encontrar en sitios web gratuitos en internet. Los piratas informáticos diseñan este tipo de software para sustraer datos de
teléfonos móviles.
Los piratas informáticos profesionales pueden utilizar fácilmente una aplicación espía que simplemente se instala en el teléfono
que desean atacar. Solo en algunos casos, los piratas informáticos necesitan acceso físico al dispositivo para instalar estas
aplicaciones.
El registro de pulsaciones de teclado (keylogging) es una técnica que necesita de la descarga de un software espía para robar
datos de un teléfono antes de que pueda cifrarse. Este tipo de software también se puede utilizar accediendo físicamente al
teléfono.
Los Troyanos son un tipo de malware que se puede disfrazar en los smartphones para extraer datos importantes, como tarjetas
de crédito y otra información personal. Para instalar troyanos, los ciberdelincuentes utilizan técnicas como "phishing" para
atraerlo a sus victimas.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Phishing

El phishing es una técnica que consiste en que los ciberdelincuentes se hacen pasar por una empresa o persona de confianza para
obtener información confidencial. En tales casos, generalmente envían mails y mensajes de texto que contienen códigos, imágenes
y texto de aspecto corporativo y oficial. Cuando un usuario hace clic en dicho contenido malicioso, la URL puede infiltrarse en el
teléfono a través de enlaces infectados con virus o software que puede sustraer información personal.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Ataques mediante números de teléfono

Para comprender cómo funciona este tipo de ataque, es necesario conocer y comprender las técnicas de piratería telefónica. El
protocolo SS7 es un sistema utilizado para interconectar redes de telefonía móvil entre sí, por lo que si queremos infiltrarnos en
los móviles es necesario el acceso a este protocolo.
Los delincuentes que acceden al protocolo SS7 tienen la posibilidad de grabar y reenviar llamadas, leer mensajes y localizar
dispositivos específicos. Sin embargo, este protocolo tiene un grado alto de dificultad por lo que es complicado que una persona
sin conocimientos utilice este método.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Ataques mediante tarjetas SIM

En agosto de 2019, al CEO de Twitter le suplantaron su identidad para cambiar su tarjeta SIM. La técnica fue la siguiente, el
ciberdelincuente llamó al proveedor telefónico de la víctima y se hizo pasar por este, solicitando una nueva tarjeta SIM.
Convencido el proveedor, este desactiva la antigua tarjeta SIM y el delincuente consigue el número de teléfono de la víctima,
accediendo a información personal. La protección de nuestros datos personales es esencial para evitar que los piratas informáticos
se hagan pasar por nosotros.

La compañía AdaptiveMobile Security descubrió una nueva forma de infiltrarse en los teléfonos móviles a través de tarjetas SIM, el
llamado Simjacker. Este método es más complicado que el phishing porque el atacante envía una señal al teléfono de la víctima,
cuando esta abre dicha señal, el hacker puede espiar su dispositivo e incluso localizar su ubicación.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Ataques mediante Bluetooth

Los hackers profesionales pueden usar programas especiales para buscar dispositivos móviles vulnerables con conectividad
Bluetooth disponible. Estos tipos de ataques ocurren cuando un hacker está cerca del teléfono de la víctima, generalmente en un
área densamente poblada. Cuando un hacker se conecta a Bluetooth, tiene acceso a toda la información disponible y conexiones
a Internet, pero necesita descargar los datos cuando su smartphone está cerca.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

No se convierta en una víctima de su móvil

Como podemos ver, los ciberdelincuentes poseen muchas maneras de infiltrarse en nuestro dispositivo y sustraernos información
personal. A continuación vamos a ver varios consejos para no convertirnos en sus víctimas:
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

No se convierta en una víctima de su móvil

No se aleje de su móvil
La forma más fácil para que un ciberdelincuente robe información de
Cifre su dispositivo
nuestro smartphone es acceder físicamente a este. Por lo tanto, es
importante mantenerlo cerca en todo momento. Si nos preocupa que
Bloquee su tarjeta SIM
nuestro teléfono haya sido extraviado y manipulado en medio de un grupo
Desactive las conexiones de extraños, verifiquemos su configuración y busquemos aplicaciones
Wi-Fi y Bluetooth
desconocidas.
Use protección
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

No se convierta en una víctima de su móvil

No se aleje de su móvil
Cifrar nuestro teléfono móvil puede prevenir ataques y proteger las
Cifre su dispositivo
llamadas, mensajes y demás datos confidenciales. Para verificar si nuestro
dispositivo está encriptado: si somos usuarios de iPhone podemos ir a
Bloquee su tarjeta SIM
Touch ID y Passcode, dirigiéndonos hacia la parte inferior para activar la
Desactive las conexiones privacidad. Si por otro lado somos usuarios de Android podemos aprovechar
Wi-Fi y Bluetooth
el cifrado automático según el tipo de teléfono móvil.
Use protección
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

No se convierta en una víctima de su móvil

No se aleje de su móvil
Podemos proteger nuestra contraseña de ataques agregando un código de
Cifre su dispositivo acceso a su tarjeta SIM. Para iPhone, este código se puede configurar en
Configuración > Datos móviles > PIN de la tarjeta SIM. Introducimos nuestro
Bloquee su tarjeta SIM
PIN existente para habilitar el bloqueo. Los usuarios de Android pueden ir a
Desactive las conexiones Configuración > Pantalla y bloqueos de seguridad > Otras configuraciones
Wi-Fi y Bluetooth de seguridad > Configuración de bloqueo de tarjeta SIM. Aquí puede

Use protección habilitar la opción para bloquear la tarjeta SIM.

PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

No se convierta en una víctima de su móvil

No se aleje de su móvil

Cifre su dispositivo Es muy fácil para los ciberdelincuentes conectarse a nuestro teléfono móvil
a través de una conexión Wi-Fi o Bluetooth. Se recomienda que deshabilite
Bloquee su tarjeta SIM
estas conexiones si no las estamos utilizando. También es aconsejable no
Desactive las conexiones conectarse a redes públicas por el riesgo inherente que entrañan.
Wi-Fi y Bluetooth

Use protección
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

No se convierta en una víctima de su móvil

No se aleje de su móvil

Cifre su dispositivo Podemos proteger nuestro dispositivo frente al spyware y malware de

manera fácil y gratuita utilizando aplicaciones de seguridad móvil para
Bloquee su tarjeta SIM
iPhone y Android y así evitar que los ciberdelincuentes ataquen su teléfono
Desactive las conexiones móvil. Antivirus como McAfee, AV, Panda, Karspersky, Norton, Avast…etc
Wi-Fi y Bluetooth

Use protección
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Los dispositivos móviles, incluidos los que se usan simultáneamente de

manera personal y profesional (BYOD), deben estar contemplados en las
políticas de seguridad de la empresa, ya que existen riesgos inherentes a su
uso como el robo o pérdida, infección por malware, accesos no autorizados a
recursos de la empresa o fugas de información.
Si no existen estas políticas o no contemplan los usos permitidos de los
móviles, estaremos expuestos a sufrir incidentes de seguridad.
Para la elaboración de estas políticas podemos utilizar las soluciones de
gestión de dispositivos móviles (MDM) y las soluciones de gestión de
aplicaciones móviles (MAM) diseñadas para controlar el uso de dispositivos
móviles.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Podemos utilizar las soluciones MDM para aplicar las políticas de seguridad
que consideremos necesarias. Por ejemplo, podríamos utilizar este software
para requerir el uso de un PIN para desbloquear un dispositivo móvil, permitir
que las tecnologías de cifrado protejan los datos confidenciales almacenados,
así como determinar si un dispositivo móvil ha sufrido modificaciones de
software para evadir las restricciones del fabricante (comúnmente conocido
como rootear en el caso de los móviles Android o jailbreak en el caso de los
iPhone).
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Una organización puede establecer diferentes políticas de gestión de

dispositivos móviles para cada categoría, como por ejemplo, los emitidos por
la organización, controlados por terceros y BYOD, y así tener en cuenta todos
los diferentes niveles de acceso.
Además proporciona un entorno que aísla las aplicaciones y los datos de la
empresa del resto del dispositivo pudiéndose requerir una autenticación
robusta para acceder al entorno empresarial, que a su vez está cifrado para
proteger los datos y aplicaciones confidenciales de la organización, y para
minimizar la fuga de datos de esas aplicaciones a otras aplicaciones y
servicios que se ejecutan en el dispositivo.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

La opción más completa para mantener la seguridad de estos dispositivos es el software

conocido como UEM, por sus siglas en inglés Unified Endpoint Management, que permite
administrar de forma centralizada todos los dispositivos de la empresa de manera remota.
Esta herramienta aúna las características de la gestión de dispositivos móviles o MDM
anteriormente descritos y la gestión de movilidad empresarial EMM (Enterprise Mobility
Management), simplificando así el coste en tiempo y recursos en las labores de administración.
Los UEM, además de permitir a la empresa gestionar los dispositivos móviles, proporcionan las
herramientas necesarias para administrar otros elementos corporativos como impresoras,
dispositivos IoT o equipos de sobremesa.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Las organizaciones pueden aprovechar estas capacidades de gestión de la seguridad, por

ejemplo, restringiendo la instalación y el uso de aplicaciones de terceros, o proporcionando una
serie de aplicaciones autorizadas. No obstante, las capacidades de seguridad y las acciones
apropiadas varían ampliamente según el tipo de dispositivo, las aplicaciones que necesite tener
instaladas y los permisos solicitados por estas.
Por ello, las organizaciones deben proporcionar a los administradores de dispositivos y a los
usuarios las pautas necesarias para protegerlos, ya que ambos, administradores y usuarios, son
responsables de la seguridad de los dispositivos móviles de teletrabajo .
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Entre los consejos de seguridad generales para dispositivos móviles destacamos:

Limitar las capacidades de red, como por ejemplo el uso del Bluetooth y redes inalámbricas compartidas, priorizando
en estos casos el uso de la redes móviles (3G/4G/5G). Existe la posibilidad de que algunos protocolos inalámbricos
expongan al dispositivo a un posible ataque por parte de los ciberdelincuentes.

Los dispositivos que se conectan a Internet deben disponer de software antimalware e incluso de cortafuegos
habilitados para evitar ataques y accesos no autorizados.

Aplicar las actualizaciones y parches del fabricante cuando sea necesario para proteger el dispositivo de los ataques
que explotan vulnerabilidades conocidas y no parcheadas.

Cifrar los datos almacenados en el dispositivo.

Requerir autenticación antes de acceder a los recursos de la organización.

PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Entre los consejos de seguridad generales para dispositivos móviles destacamos:

Restringir las aplicaciones que pueden o no instalarse mediante listas blancas o negras.

Dada la similitud entre las funciones de los dispositivos móviles, especialmente a medida que aumentan sus
capacidades y las de los equipos de sobremesa o portátiles, las organizaciones deberían considerar aumentar las
medidas de seguridad hasta equipararlas con las de los equipos que se utilizan en las instalaciones de la empresa.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

La ingeniería social es una forma no técnica de

entrar en un sistema o red.
Es el proceso de engañar a los usuarios del sistema para que realicen
acciones útiles para los piratas informáticos, como proporcionar información
que puede ser utilizada para eludir o eludir los mecanismos de seguridad.
Es importante comprender la ingeniería social porque los piratas informáticos
pueden usarla para atacar el elemento humano en el sistema y eludir las
medidas técnicas de seguridad. Este método se puede utilizar para recopilar
información antes o durante un ataque.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

La ingeniería social es una forma no técnica de

entrar en un sistema o red.
L aEspela proceso
r t e m áde s engañar
p e l i g r oa slos
a usuarios
d e l a idel
n gsistema
e n i e r ípara
a s oquec i arealicen
l es que las
em p r e s a útiles
acciones s c o para
n p rloso cpiratas
e s o s informáticos,
d e a u t e n como
t i c a cproporcionar
i ó n , f i r e winformación
a l l s, r e d e s
p rque
i v apuede
d a s vseri r tutilizada
u a l e s para
y s oeludir
f t w ao reludir
e d elosmmecanismos
o n i t o r e o ded eseguridad.
redes
s i e m p r e s o n v u l n e r a b l e s a a t a q u e s e x t e r n o s, p o r q u e l a
i nEs
g eimportante
n i e r í a scomprender
o c i a l n ola aingeniería
t a c a dsocial t a m e nlos
i r e c porque t epiratas
l a s informáticos
medidas de
s epueden
g u r i dusarla
a d . para atacar el elemento humano en el sistema y eludir las
medidas técnicas de seguridad. Este método se puede utilizar para recopilar
información antes o durante un ataque.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

El arte de la manipulación
La ingeniería social implica la recopilación de información confidencial o el
acceso indebido a los privilegios de extraños, con base en la construcción de
relaciones de confianza inapropiadas. Los piratas informáticos que son
contactados pareciendo ser parte de la organización son los más exitosos
con los ataques de ingeniería social.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Tipos de ataques de ingeniería social

La ingeniería social se puede dividir en dos tipos comunes:
• Basados en personas: se refiere a la interacción entre persona y
persona para obtener la información deseada.
• Basada en el Cómputo: se refiere a tener los programas informáticos
para intentar obtener la información deseada.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Basándose en la manipulación o el engaño, los ataques por ingeniería social

utilizarán las técnicas necesarias para que los usuarios den a conocer su
información personal o, incluso, les permita tomar el control de sus dispositivos.

PHISING, VISHING Y SMISHING

BAITING O GANCHO

SHOULDER SURFING

DUMPSERT DIVING

SPAM

FRAUDES ONLINE

ATAQUES POR
INGENIERÍA SOCIAL
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

PHISING, VISHING Y SMISHING

Ciberdelincuente Urgencia
Enviará un mensaje suplantando El mensaje es de carácter de urgencia
una identidad legítima. y/o con un atractivo especial.

Spearfishing
Centrándose en una persona en concreto, previamente se consigue toda la
información posible sobre ella, para así tener una mayor probabilidad de
é x i t o a l a h o r a d e h a c e r s e l u e g o c o n e l o b j e t i v o ( d i n e r o, i n f o r m a c i ó n , e t c . ) .

Cómo me protejo ?
Se precavido y lee el mensaje detenidamente, especialmente, si se trata de entidades
con peticiones urgentes, promociones o chollos demasiado atractivos.
Detectar errores gramaticales en el mensaje.
Revisar que el enlace coincide con la dirección a la que apunta.
Comprobar el remitente del mensaje.
No de s c a rga r ni ngú n a rc hi vo a dj u nt o y a na l i za r l o p re vi a m e nt e c o n e l a nt i vi r u s.

V e a BmAoAI sTT IAuNQ

nG aU OEnSo POR
G tA iNc Ci aH Or e a l
INGENIERÍA SOCIAL
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

BAITING O GANCHO

USB Anuncios/webs
Abandonar unidades infectadas En las que son promocionados premios o
en la entrada de empresas o concursos para lo que nos solicitan datos
lugares de gran afluencia o i n c l u s o d e s c a r g a r s e a l g ú n a r c h i v o.

Cómo me protejo ?
Evitar dispositivos de almacenamiento desconocidos.
A n t i v i r u s a c t i v a d o y a c t u a l i z a d o.
S i s t e m a a c t u a l i z a d o.
No fiarse de ningún mensaje, promesa o promoción por muy
atractiva que sea de una web poco fiable.

ATAQUES POR
INGENIERÍA SOCIAL
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

SHOULDER SURFING

Información
M i r a n d o “ p o r e n c i m a d e l h o m b r o ” , e s d e c i r, d e s d e
una posición cercana nos controlan cuando
estamos utilizando nuestros dispositivos.

Cómo me protejo ?
No acceder a nuestras cuentas o evitar aporta información
personal en lugares públicos.
U s a r g e s t o r e s d e c o n t r a s e ñ a r.
E l S i s t e m a de ve ri fi c a c i ó n e n do s p a s o s.
Contemplar el uso de filtros “anti espía”.

ATAQUES POR
INGENIERÍA SOCIAL
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

DUMPSERT DIVING

Basura
Aprovechan cualquier información sobre nosotros o nuestro trabajo
y q u e p u e d a s e r s u s c e p t i b l e d e u t i l i z a r e n o t r o t i p o d e a t a q u e s.

Cómo me protejo ?
Eliminar de forma segura nuestra información.

ATAQUES POR
INGENIERÍA SOCIAL
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

SPAM

Envío masivo de mensajes

Estos mensajes no deseados suelen tener una finalidad comercial,
pero los hay que contienen algún tipo de malware.

Cómo me protejo ?
Ignorar y eliminar este tipo de mensajes.
Usar un filtros antispam.
A do p t a r l a s m e di da s de p ro t e c c i ó n o fre c i da s p o r l a s re de s s o c i a l e s.
No u t i l i za r nu e s t ra c u e nt a de c o r re o p ri nc i p a l e n re gi s t ro s e n p ro m o c i o ne s u o fe r t a s.

ATAQUES POR
INGENIERÍA SOCIAL
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

FRAUDES ONLINE

Ciberdelincuente
Los fraudes son de muy diversas variedades por
lo que necesitaremos unas medidas de protección
adaptadas casi a cada tipo en cuestión.

Cómo me protejo ?
Desconfiar, en principio de cualquier propuesta online que
se nos haga.

ATAQUES POR
INGENIERÍA SOCIAL
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Cargando .Pdf …
P u e d e s d e s c a rg a r e l d o c u m e n t o p i n c h a n d o e n e l
icono
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Cargando .Pdf …
P u e d e s d e s c a rg a r e l d o c u m e n t o p i n c h a n d o e n e l
icono
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Algunos de los ataques de ingeniería social más

grandes de los últimos años incluyen los siguientes:
En 2007, un tesorero de Michigan cayó en una estafa en Nigeria que
involucraba a un príncipe ficticio que quería escapar de Nigeria pero necesitaba
ayuda para sacar sus bienes del país. En cuestión de meses, el tesorero
realizó múltiples pagos por un total de 185,000 dólares (de los cuáles
72,000 dólares provenían de su propio capital) a los piratas informáticos
detrás de la estafa. Más tarde reveló que el resto del fondo provenía de 1.2
millones de dólares que había malversado durante sus 13 años de servicio
público.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Algunos de los ataques de ingeniería social más

grandes de los últimos años incluyen los siguientes:
En 2013, los piratas informáticos robaron la información de la tarjeta de
crédito de más de 40 millones de clientes objetivo. Según datos oficiales, los
piratas primero investigaron el servicio de aire acondicionado exterior de la
cadena de supermercados y atacaron a sus empleados con correos
electrónicos de phishing. Esto permitió a los piratas informáticos obtener
acceso a la red de Target y robar la información de pago de los clientes.
Aunque el perpetrador nunca fue arrestado, Target pagó 18.5 millones de
dólares en 2017 para resolver reclamos estatales.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Algunos de los ataques de ingeniería social más

grandes de los últimos años incluyen los siguientes:
En 2017, más de 1 millón de usuarios de Google Docs recibieron el mismo
correo electrónico de phishing con el que uno de sus contactos intentaba
compartir un documento. Al hacer clic en el enlace, los dirigió a una página de
registro falsa de Google Docs, donde varios usuarios ingresaron su
información de registro de Google. Esto dio a los piratas informáticos acceso
a más de un millón de cuentas de Google, incluidos correos electrónicos,
contactos, documentos en la nube y copias de seguridad de teléfonos
inteligentes.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Dado que los piratas informáticos detrás de las

estafas de ingeniería social siempre confían en la
a m a b i l i d a d y l a v o l u n t a d d e a y u d a r a s u s v í c t i m a s, l a
mejor manera de protegerse es ser más desconfiado
en el entorno online.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Instale software antivirus de confianza

Ahorre tiempo y la molestia de verificar sus fuentes mediante el uso de un
software antivirus confiable, que pueda detectar mensajes o sitios web
sospechosos.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Cambie la configuración de spam en el correo

electrónico
Puede ajustar la configuración de su email para reforzar el filtro de spam si
estos mensajes aparecen en su bandeja de entrada. S e g ú n e l c l i e n t e
d e c o r r e o e l e c t r ó n i c o q u e e s t é u t i l i z a n d o, e l p r o c e s o
puede ser lig eramente diferente.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Investigue la fuente
Si recibe un email, un mensaje de texto o una
llamada telefónica de una fuente desconocida,
busque esa dirección o número de teléfono en un
motor de búsqueda para ver qué información aparece
a l r e s p e c t o.
Si el ataque fue un ataque de ingeniería social, es posible que el número o la
dirección de correo electrónico hayan sido identificados como tales antes.
Incluso si los remitentes parecen ser legítimos y está tratando de estar
seguro, verifíquelos de alguna manera, ya que la dirección de correo
electrónico o el número de teléfono pueden ser ligeramente diferentes de la
fuente real y pueden estar vinculados a un sitio web no seguro.
PRÁCTICA DE Qué es un Hacker Tipos de Hacker Seguridad de la información Test de intrusión Web Hacking
HACKING ÉTICO

Si algo parece demasiado bueno para ser

cierto, seguramente sea falso
En este tipo de ataque de ingeniería social, la intención y el sentido común
pueden ser muy útiles. No confíe en las ofertas que prometen grandes
recompensas por dinero o información. Y si la solicitud parece provenir de
alguien que conoce, pregúntese: "¿Realmente me está pidiendo esta
información de esta manera?" ¿Seguro que quieres compartir este enlace
conmigo?
HAS TERMINADO